株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

セキュリティコンサルティング

産業制御システム向けリスクアセスメントサービス

産業制御システム向けリスクアセスメントサービス

工場の生産ライン等で利用されている産業制御システムは「インターネットに接続していないから安全」とされてきました。かつては、情報システムを利用するオフィスも同様に閉鎖された環境下にありサイバー攻撃から無縁でしたが、ITの普及とともにネットワーク化が進み、サイバー攻撃の被害にあうリスクが増えています。

今や、産業制御システムにおいても、生産性向上や運用の効率化の観点から、外部システムと物理的に回線がつながっていないシステム環境はほとんどありません。

これらのシステムがサイバー攻撃を受けた場合、工場などが稼働停止に追い込まれるとビジネス損失の可能性はもちろんのこと、業種や形態によってその他のプラント、発電所、交通制御等の社会インフラに多大な影響を与える場合もあります。

このような状況から、産業制御システムに存在する特有のリスクや潜在的に存在するリスクを調査・評価する「リスクアセスメント」の重要性が高まっています。

産業制御システムのリスクアセスメントの重要性

産業制御システムは、オペレーショナルテクノロジー(Operational Technology:OT)分野に属し、工場の製造ラインで活用される製造システムを構成する装置やプロセスを監視・制御することを目的とし、企業の根幹を成す、保護しなければならない最重要システムです。これまで、産業制御システムは、オフィスで利用される情報システム(IT)とは切り離して運用され「安全」とされてきました。しかし、生産性や品質の向上から、IoTやIIoT(Industrial Internet of Things)を活用したネットワーク化や工場とオフィスの連動化が進むことでインシデントの危険性が高まっており、セキュリティ対策がより重要になっています。

産業制御システムのインシデント例

USBメモリなど

USBメモリなど

USBメモリなどにより工場のネットワークにマルウェアを混入させてしまう。
インターネット

インターネット

インターネットなどのデータ送信の経路が侵入口となってしまう。
無線

無線

工場に無線機能がある場合、無線経路を介してネットワークに侵入されてしまう。
情報ネットワーク

情報ネットワーク

高度化するサイバー攻撃が、情報ネットワークから工場ネットワークに侵入されてしまう。

リスクアセスメントは、どのようなセキュリティ対策が必要か、を導き出すための重要な調査・評価とも言えます。

産業制御システムのリスクアセスメント

工場などの施設内にある制御情報ネットワークとフィールド機器・装置を「評価対象範囲」として、リスクの調査や評価(リスクアセスメント)を行います。

評価は独自フレームワーク(後述)に基づくインタビューが中心になりますが、産業制御システムの防御のために、決定的に重要な箇所(クリティカルポイント)については、実際の機器の調査も併用します。

産業制御システムに対するアセスメントのイメージ

産業制御システムに対するアセスメントのイメージ
情報ネットワークエリア 情報システム等があるネットワーク内は、完璧な防御は難しくウイルス等に感染される場合があり、制御情報ネットワークと直結されるFW(ファイアーウォール)等をクリティカルポイントとして調査します。
制御情報ネットワークエリア PLC(制御装置)やHMI(マシンインタフェース)などの制御情報ネットワークの境界セキュリティおよびエンドポイントに着目した網羅的分析を実施します。
フィールド機器・装置エリア 外部と接する境界セキュリティに着目した分析を実施します。
外部接続点 遠隔保守・データ送信等のGW(回線)がある場合、フィールド機器・装置エリアに直結されることもあり、クリティカルポイントとして調査します。

サービス実施の流れ

① システム・業務把握

お客様のアセスメント対象となるシステムの設計書をご用意いただき、関連する業務についてヒアリングを行いながら、システム環境や業務状況を把握します。

② 脅威シナリオ検討

対象システムで想定される脅威のシナリオを検討します。

③ 対策調査

独自フレームワークLAC-ICSSS(Industrial Control System Security Standard)を用いて、想定した脅威シナリオを踏まえセキュリティ対策状況を調査します。

④ リスク分析と評価

どのようなリスクが存在しているか、そのリスクの程度や対策すべき優先順位について分析し、評価します。

⑤ 対策検討

検出されたリスクに対して、分析結果に基づき対策を検討します。

⑥ 結果報告と対策のご提案

評価した結果のご報告とともに、推奨するセキュリティ対策をご提案します。

※ 2~4か月程度で結果のご報告とセキュリティ対策のご提案までを行いますが、評価を行う対象の規模により、この期間は変動します。

サービスの特徴

独自のフレームワーク「LAC-ICSSS」

対策分析やリスク検討には、LAC-ICSSS(Industrial Control System Security Standard)と呼ばれる独自フレームワークを使用します。これは、セキュリティ監視サービス「JSOC」やセキュリティ事故に即応するサイバー救急センターなどで培ってきた知見(LACインテリジェンス)を集約し、NIST サイバーセキュリティフレームワーク(CSF)やNIST SP 800シリーズ(NIST SP 800-82 Guide to Industrial Control System Security)等の米国標準、重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針に代表される国内標準も参考にして開発したラック独自のフレームワークです。ラックの最前線のセキュリティサービスの知見を踏まえた、産業制御システムを含むOT(Operational Technology)システムに最適化された対策案を割り出すことができます。

LAC-ICSSS
LAC-ICSSSのイメージ

クリティカルポイントにおける実機調査

産業制御システムのセキュリティを考える時、多くの場合、決定的に重要な箇所(クリティカルポイント)が存在します。例えば情報システムネットワーク(IT)と産業制御システムネットワーク(OT)の接続点における通信制御が挙げられます。これらの産業制御システムのクリティカルポイントは、本社情報システム部門でその実情を把握しきれていないことが殆どです。そのため本サービスでは接続点におけるACL(Access Control List)の一行一行を調査します。実際の機器設定のセキュリティ調査を加えることで、産業情報システムネットワークに潜むリスクを把握し、実際に事故を防止することができます。

ビジネスリスクの深刻度評価を前提としたリスクアセスメント

対象システムで考えられる脅威シナリオを具体的に想定した上で、必要な対策がどのような強度で取られているかを評価します。そのため、具体的な脅威シナリオに即して深刻性の評価や、代替案の検討が可能となり、ビジネスへの影響を脅威シナリオごとに評価・検討することができます。お客様はリスクの深刻度にあわせ、優先順位を加味して対策を行うかどうかを判断することができます。

価格

平均サービス価格 700万円(税抜)
本サービスはお客様の産業制御システムにより提供価格が異なりますので、個別見積もりとなります。

お問い合わせ

産業制御システム向けリスクアセスメントサービス
に関するお問い合わせ

メールでのお問い合わせ
sales@lac.co.jp

いま注目されているサービス

  • penetration_top.png

    全セキュリティ診断のノウハウを活用した総合的セキュリティサービス「ペネトレーションテストサービス」を実現

  • Akamai.png

    サイバー攻撃の脅威からWebサイトを守り、高速で安定したサービス提供をサポート

  • splunk_top.png

    セキュリティ監視センターJSOC®が「Splunk® Enterprise」を使い多様なログを収集・分析する「SIEM監視サービス」を提供

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top